L'attaccante deve avere ottenuto la password dell'utente da attaccare. Ciò non è immediato ma neanche difficile: il motivo per il quale si inviano i codici via SMS è proprio perché ottenere la password non è difficile.
A questo punto l'attaccante procede come segue:
- Esegue il login con username e password dell'utente.
- Subito prima di eseguire una operazione che richiede l'inserimento di un codice inviato dal servizio via SMS, l'attaccante:
- invia un messaggio all'utente, in una qualche forma: Twitter, email, whatsapp, SMS...;
- nel messaggio dichiara di essere il servizio e scrive: "Caro utente, abbiamo rilevato attività sospette sul tuo account provenienti dall'indirizzo 136.91.65.75 (localizzato a Novosibirsk). Se non hai utilizzato il tuo account da quella locazione, allora rispondi a questo messaggio con il codice numerico che ti invieremo tra pochi minuti. Altrimenti puoi continuare ad operare tranquillamente";
- esegue l'operazione nel servizio (il che provoca l'invio di un SMS dal servizio all'utente);
- aspetta di ricevere la risposta dell'utente, contenente il codice;
- inserisce il codice nel servizio.
Voilà.
http://uk.businessinsider.com/hackers-are-spoofing-text-messages-to-steal-two-factor-authentication-codes-2016-6
